スポンサードリンク
Categories: 過去記事

田舎はこんなものです……

■ [その他] 田舎の市町村Webページの内情

最近面白いことも書いてなかったので、ここでちょっとした話でも書いておこうかと。実は私、ここ最近某お役所のWebページ作成業務に関わっていたんです。で、少しその内情ってヤツを書いてみたいと思います。身元が割れない程度にこそっと。

まずお役所Webサイトのセキュリティに関してですが、例えば id:mgisystem 様が、ご実家である香川県丸亀市のWebページに色々と問題があるというお話を何度か書かれておられます。それを踏まえてのお話ですが、

田 舎 の お 役 所 は ど こ も そ ん な 感 じ で す 。

基本的にWebページに載せてる内容は、市や町が発行するガイドブックとか市民・町民情報誌に載っている内容のまんまコピーって場合が多いようです。それプラスWebから行政サービスの受付をやろうと、ちょっと進んだ人が考えたとしても、どうしてもお役所仕事の延長で考えてしまうためかセキュリティまで頭が回らない。そんな展開でしょう。

かくいう自分が関わったサイトでも、丸亀市のような水道使用受付などという事まではやっていませんが、住所氏名電話番号その他の記載が必須な、役所へのお問い合わせフォームにSSLが使われていません。例えばプライベートな税金問題や土地問題などを相談しようと思った場合、自分なら絶対Webからの相談はしたくないですね。

せっかく普段仕事で忙しい人でも相談しやすいようにと、Webにフォームを設けているのなら、その辺にまで気を遣って欲しいと思いました。・・・といってもまあ、サーバーの管理は別会社で、自分たちはWebページのコンテンツ制作と更新、管理だけですから、SSLを入れる権限はないんですけどね。都会はどうか知りませんが、田舎だと地縁血縁でいろんな業者が入り乱れて一つのシステムを作ったりって事がままあって、その辺りでトラブることもあります。

あとは制作会社の能力というか、お役所の考え方にもよるのでしょうが、知られるとマズいセキュリティホールが残っている場合もあります。簡単なところだと、httpdのバナーをのぞいてみれば、相当古いバージョンが使われているとか。OpenSSLのバージョンが古いままとか。しかも使っているのはTelnetにftpとか(OpenSSL入れるなら普通SSH、scp、sftp辺りを使いますけどねぇ)。

もっと本質的なところまでいくと、コンテンツ管理システムにパスワード制限がかかってなくて、外部から誰でもアクセスしてデータの書き換えが可能とか。そういう事例があることも確かです(自分が手がけたシステムではなく、聞いた話ですが)。そういうコンテンツ管理システムの中にはPHPとSQLを使って構築されたものもあるようなのですが、そのうちのいくつかは入力のサニタイズが不十分で、色々とつつかれるとヤバそうなお役所サイトがあるとかないとか。伝聞ですから信憑性は謎ですが、真実とすれば恐ろしい話です。

田舎は都会より優秀な技術者が少なく、セキュリティ意識が低い技術者がサーバー構築・サイト構築に関わっている例も少なくありません。また納期の関係上、動作させることが最優先でセキュリティが疎かになることもあるでしょう。そしてそうやって作られたサイトは、コンテンツの更新はされてもセキュリティホールの修正が入ることはあまりありません(保守契約結んでなかったり、多数の業者が入っているとどこがそれをするのかという問題もあるため。それら契約内容の取り決めが甘いこともあるようです)。

少なくとも田舎では、そんな感じで運営されているお役所サイトが結構あるというのが実情です。まあ私の知る限り、自分たちが手がけたサイトには個人情報やそれに類する情報は納められていないため、仮に攻撃を受けても住民の皆さんには直接被害を与えないだけまだマシなのですが・・・(もちろん、メール送信フォームを悪用されたり他のサーバーまで乗っ取られれば個人情報が漏れることもあり得ますし、踏み台にされたら色々なところに迷惑を掛けてしまいますが)。

っていうか、予算無いのかも知れないけど、ペネトレーションテストくらいやらないのかなぁ、田舎のお役所は。ツール回して簡単なテストするだけなら、俺でもできるんだけど。そのデータを活かしてセキュアにできるかどうかは別問題だけどな。

スポンサードリンク
GUILZ.ORG

Share
Published by
GUILZ.ORG
スポンサードリンク